Hallo Zusammen,
ich habe eine Verständnisfrage zur meiner VPN Verbindung.
Insgesamt habe ich drei VPN-Verbindungen auf meinem 1906:
1.) iPhone
2.) Notebook mit Windows 10 + Lancom VPN-Client
3.) Site to Site mit 1783VAW
Wenn ich mir jetzt die Verbingungsliste angucke (siehe Anhang), frage ich mich warum
bei zwei Verbindungen ein Hash-Algorithmus ist und bei der Site to Site Verbindung nicht.
Kann mir das jemand erklären?
Ein Dankeschön im Voraus.
Florian
Frage zum Hash-Algorithmus
Moderator: Lancom-Systems Moderatoren
-
foxtrotlima26
- Beiträge: 33
- Registriert: 15 Aug 2018, 12:09
Frage zum Hash-Algorithmus
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Re: Frage zum Hash-Algorithmus
Hi foxtrotlima26
das hänngt von den angeboteten Proposlas ab. Offenbar enthält die Proposla-Liste der Site-To-Side Verbindung auf beiden Seiten ein Proposal bei der bei ESP frü Authentifizierung "keine Authentifizierung" eingestellt ist.
Alleine sowas anzubieten ist schon grob Fahrlässig. Schlimmer ist noch, daß sich beide auch noch darauf einigen... Passe deine Konfiguration an und nimm die "kaputten" Proposals aus den Proposal-Liste der Site-To-Side Verbindung auf beiden Seiten raus... Wieso ist so ein Proposal da überhaupt drin? Standardmässig haben alle Poroposals mindestens MD5 (bei alten Geräten) bzw. SHA1 (bei neuen Geräten) als Hash-Algorithmus - obwohl man beide heutzutage eigentlich nicht mehr verwenden sollte...
Gruß
Backslash
das hänngt von den angeboteten Proposlas ab. Offenbar enthält die Proposla-Liste der Site-To-Side Verbindung auf beiden Seiten ein Proposal bei der bei ESP frü Authentifizierung "keine Authentifizierung" eingestellt ist.
Alleine sowas anzubieten ist schon grob Fahrlässig. Schlimmer ist noch, daß sich beide auch noch darauf einigen... Passe deine Konfiguration an und nimm die "kaputten" Proposals aus den Proposal-Liste der Site-To-Side Verbindung auf beiden Seiten raus... Wieso ist so ein Proposal da überhaupt drin? Standardmässig haben alle Poroposals mindestens MD5 (bei alten Geräten) bzw. SHA1 (bei neuen Geräten) als Hash-Algorithmus - obwohl man beide heutzutage eigentlich nicht mehr verwenden sollte...
Gruß
Backslash
-
foxtrotlima26
- Beiträge: 33
- Registriert: 15 Aug 2018, 12:09
Re: Frage zum Hash-Algorithmus
Hallo Backslash,
danke für den Hinweiß / Erklärung.
Was ich nun komisch finde ist, dass ich laut Lancom KB den Site to Site Tunnel aufgebaut habe und trotzdem diese Situation zu stande gekommen ist. Und das andere ist, dass die Hash Liste diese Einstellung nicht hat. (Siehe Bild von beiden Routern).
Selbst nach deaktivieren von SHA1 und Neustart bleibt diese Situation.
Was kann ich jetzt machen?
Viele Grüße,
Florian
danke für den Hinweiß / Erklärung.
Was ich nun komisch finde ist, dass ich laut Lancom KB den Site to Site Tunnel aufgebaut habe und trotzdem diese Situation zu stande gekommen ist. Und das andere ist, dass die Hash Liste diese Einstellung nicht hat. (Siehe Bild von beiden Routern).
Selbst nach deaktivieren von SHA1 und Neustart bleibt diese Situation.
Was kann ich jetzt machen?
Viele Grüße,
Florian
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Re: Frage zum Hash-Algorithmus
Hi foxtrotlima26,
ist die Site-To-Site-Verbindung auch wirklich eine IKEv2 Verbindung? Wenn sie IKEv1 macht dann findest du die Poposals unter VPN -> IKE/IPSec -> IPSec-Proposals (die werden in der IPSec-Proposal-Liste zusammengefaßt, dann in den Verbindungsparametern mit den IKE-Poposalas gruppiert und letztendlich in der Verbindungsliste der jeweiligen Verbindung zugewiesen).
Desweitern verwendet eine Site-To-Site-Verbindung normalerwiese nicht die Default-Parameter sondern nutzt eigene, weil man bei Site-To-Site die Gegesntelle meist schon anhand der IP-Adresse festmachen kann.
schau doch nochmal genauer nach, welche Proposals wirklich verwendet werden
Gruß
Backslash
ist die Site-To-Site-Verbindung auch wirklich eine IKEv2 Verbindung? Wenn sie IKEv1 macht dann findest du die Poposals unter VPN -> IKE/IPSec -> IPSec-Proposals (die werden in der IPSec-Proposal-Liste zusammengefaßt, dann in den Verbindungsparametern mit den IKE-Poposalas gruppiert und letztendlich in der Verbindungsliste der jeweiligen Verbindung zugewiesen).
Desweitern verwendet eine Site-To-Site-Verbindung normalerwiese nicht die Default-Parameter sondern nutzt eigene, weil man bei Site-To-Site die Gegesntelle meist schon anhand der IP-Adresse festmachen kann.
schau doch nochmal genauer nach, welche Proposals wirklich verwendet werden
Gruß
Backslash
-
foxtrotlima26
- Beiträge: 33
- Registriert: 15 Aug 2018, 12:09
Re: Frage zum Hash-Algorithmus
Hi Backslash,
also laut LANmonitor ist es eine IKEv2 Verbindung. Und ich habe mich nach dieser Anleitung gehalten.
https://www2.lancom.de/kb.nsf/1275/F6F6 ... enDocument
Ich hab jetzt nochmal alles gecheckt und habe nichts auffälliges gefunden.
Das einzige was anders ist, ist dass mein Router zu Hause eine feste WAN-IP hat und der andere
Router eine dynamische. Ist das ein "Problem" oder macht das ein Unterscheid?
Viele Grüße,
Florian
also laut LANmonitor ist es eine IKEv2 Verbindung. Und ich habe mich nach dieser Anleitung gehalten.
https://www2.lancom.de/kb.nsf/1275/F6F6 ... enDocument
Ich hab jetzt nochmal alles gecheckt und habe nichts auffälliges gefunden.
Das einzige was anders ist, ist dass mein Router zu Hause eine feste WAN-IP hat und der andere
Router eine dynamische. Ist das ein "Problem" oder macht das ein Unterscheid?
Viele Grüße,
Florian
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Re: Frage zum Hash-Algorithmus
Hallo,
kannst Du mal auf der Konsole ein 'ls st/vpn/conn' machen oder alternativ in WEBconfig in die Tabelle LCOS-Menübaum -> Status -> VPN -> Verbindungen schauen, was da steht?
Viele Grüße,
Jirka
kannst Du mal auf der Konsole ein 'ls st/vpn/conn' machen oder alternativ in WEBconfig in die Tabelle LCOS-Menübaum -> Status -> VPN -> Verbindungen schauen, was da steht?
Viele Grüße,
Jirka
Re: Frage zum Hash-Algorithmus
Hi,
AES-GCM ist Hash und Cipher in einem, daher ist wenn die Verbindung ausgehandelt wird, kein seperates Hashing ausgehandelt.
Gruß
AES-GCM ist Hash und Cipher in einem, daher ist wenn die Verbindung ausgehandelt wird, kein seperates Hashing ausgehandelt.
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
-
foxtrotlima26
- Beiträge: 33
- Registriert: 15 Aug 2018, 12:09
Re: Frage zum Hash-Algorithmus
Hallo Jirka, hallo MariusP,
Danke für eure Antworten!
@ Jirka: Ich musste den Tunnel erstmal wieder aufbauen um nachzusehen. Danach habe ich die zwei Möglichkeiten gecheckt und auch dort stehen die gleichen Angaben.
@ MariusP: Das wäre natürlich eine gute Erklärung. Ich habe mal ein wenig gegoogelt und mich reingelesen was die AES Unterschiede sind. Aber so explizit hab ich nichts gefunden wo man es nachlesen kann, dass der GCM Modus kein Hash aushandelt. Hast du vllt eine Quelle für mich?
Schönen Abend euch beiden und VIELEN Dank für eure Hilfe.
Gruß
Florian
Danke für eure Antworten!
@ Jirka: Ich musste den Tunnel erstmal wieder aufbauen um nachzusehen. Danach habe ich die zwei Möglichkeiten gecheckt und auch dort stehen die gleichen Angaben.
@ MariusP: Das wäre natürlich eine gute Erklärung. Ich habe mal ein wenig gegoogelt und mich reingelesen was die AES Unterschiede sind. Aber so explizit hab ich nichts gefunden wo man es nachlesen kann, dass der GCM Modus kein Hash aushandelt. Hast du vllt eine Quelle für mich?
Schönen Abend euch beiden und VIELEN Dank für eure Hilfe.
Gruß
Florian
Re: Frage zum Hash-Algorithmus
Hi,
Erkärung für dafür wie IPSEC (ESP) mit AES-GCM umgeht https://tools.ietf.org/html/rfc4106
Wie verwendet man AES-GCM mit IKEv2 https://tools.ietf.org/html/rfc5282 ein Update zu dem ersten IKEv2 RFC https://tools.ietf.org/html/rfc4306
Zu dem aktuellen IKEv2 RFC https://tools.ietf.org/html/rfc7296 gibt es dann ein Update welches für die zu verwendeten Algorithmen Empfehlungen ausspricht https://tools.ietf.org/html/rfc8247#page-5
Gruß
Erkärung für dafür wie IPSEC (ESP) mit AES-GCM umgeht https://tools.ietf.org/html/rfc4106
Wie verwendet man AES-GCM mit IKEv2 https://tools.ietf.org/html/rfc5282 ein Update zu dem ersten IKEv2 RFC https://tools.ietf.org/html/rfc4306
Zu dem aktuellen IKEv2 RFC https://tools.ietf.org/html/rfc7296 gibt es dann ein Update welches für die zu verwendeten Algorithmen Empfehlungen ausspricht https://tools.ietf.org/html/rfc8247#page-5
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
-
foxtrotlima26
- Beiträge: 33
- Registriert: 15 Aug 2018, 12:09
Re: Frage zum Hash-Algorithmus
Hallo Zusammen,
Ich möchte mich nur mal für eure Hilfe bedanken. Nach viel lesen von den angegebenen links und verschiedenen Tests, möchte ich hiermit mein Thema/Problem als erklärt abhaken
Liebe Grüße
Florian
Ich möchte mich nur mal für eure Hilfe bedanken. Nach viel lesen von den angegebenen links und verschiedenen Tests, möchte ich hiermit mein Thema/Problem als erklärt abhaken
Liebe Grüße
Florian
Re: Frage zum Hash-Algorithmus
Hi,
Freut mich, dass du die RFCs durchstöbert hast.
Die meisten Protokollfragen kann man in RFCs nachlesen. Sie sind halt ihrer Natur nach sehr technisch geschrieben.
Gruße
P.S.: 1000ster Beitrag
Freut mich, dass du die RFCs durchstöbert hast.
Die meisten Protokollfragen kann man in RFCs nachlesen. Sie sind halt ihrer Natur nach sehr technisch geschrieben.
Gruße
P.S.: 1000ster Beitrag
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
Re: Frage zum Hash-Algorithmus
Hallo Marius,
ja ganz toll (also ich meine jetzt die 1.000 Beiträge, das andere war ja auch toll)! Klasse, weiter so! Einer von vielen vielen neuen Mitarbeitern, der auch mal ins Forum schaut in die Anwenderwelt da draußen. (Wobei, ein neuer Mitarbeiter bist Du ja jetzt schon nicht mehr.)
Viele Grüße,
Jirka
ja ganz toll (also ich meine jetzt die 1.000 Beiträge, das andere war ja auch toll)! Klasse, weiter so! Einer von vielen vielen neuen Mitarbeitern, der auch mal ins Forum schaut in die Anwenderwelt da draußen. (Wobei, ein neuer Mitarbeiter bist Du ja jetzt schon nicht mehr.)
Viele Grüße,
Jirka